美國紐約金融網(wǎng)絡(luò)安全500編認證研究

蘇如飛

摘 ? 要：美國紐約金融服務(wù)局在2017年發(fā)布了金融服務(wù)公司網(wǎng)絡(luò)安全要求，要求金融機構(gòu)對自身的信息安全進行管理。這強化了金融機構(gòu)高管層對金融信息的督促責(zé)任，體現(xiàn)了對網(wǎng)絡(luò)安全在控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督等內(nèi)部控制五要素的重視，這種從內(nèi)部控制角度加強網(wǎng)絡(luò)安全合規(guī)管理的做法對我國具有較強借鑒意義。

關(guān)鍵詞：金融信息安全;內(nèi)部控制;消費者保護

DOI：10.3969/j.issn.1003-9031.2019.08.009

中圖分類號：TP393.08 ? ? ? ? ? ? ? ?文獻標(biāo)識碼：A ? ? ?文章編號：1003-9031（2019）08-0057-07

在移動互聯(lián)網(wǎng)與大數(shù)據(jù)時代，各國紛紛提升了對個人信息的保護力度。2017年，美國紐約金融服務(wù)局（英文簡稱DFS）頒布了《金融服務(wù)公司網(wǎng)絡(luò)安全要求》（Cybersecurity requirements for financial services companies）（英文簡稱23NYCRR 500），在2019年3月份完全實施，該規(guī)定屬于紐約州法令、法規(guī)、規(guī)章匯編的500編，主要針對網(wǎng)絡(luò)環(huán)境下金融機構(gòu)對信息安全的管理，故簡稱其為紐約金融機構(gòu)網(wǎng)絡(luò)安全500編認證①。鑒于紐約在全球的金融中心地位，研究美國紐約網(wǎng)絡(luò)安全500編認證，具有較強的理論與實踐意義。

一、美國紐約金融網(wǎng)絡(luò)安全500編認證背景

美國紐約一直面臨較大的網(wǎng)絡(luò)安全事故損失，在美國聯(lián)邦調(diào)查局FBI發(fā)布的《2016網(wǎng)絡(luò)犯罪報告》當(dāng)中，消費者報告了1260起權(quán)益受損事件，差不多影響到兩百萬的紐約居民。

作為全球金融中心，美國紐約金融服務(wù)局一直在密切的監(jiān)測持續(xù)增長來自民族國家、恐怖組織和犯罪分子對信息與金融系統(tǒng)的威脅，紐約消費者的隱私信息被使用在非法的目的上，網(wǎng)絡(luò)犯罪將引起明顯的金融損失。鑒于此，紐約金融服務(wù)局認為金融機構(gòu)網(wǎng)絡(luò)安全項目必須與相關(guān)的風(fēng)險匹配并與技術(shù)的進步同步，于是出臺美國紐約金融服務(wù)局《金融服務(wù)公司網(wǎng)絡(luò)安全要求》，簡稱網(wǎng)絡(luò)安全500編認證（23NYCRR 500）。該法規(guī)主要依據(jù)美國金融服務(wù)法（Financial Services Law）的102、201、301、302和408條制定，屬于官方監(jiān)管規(guī)則匯編的500編，包含23條，從2017年3月1日起生效實施。

根據(jù)紐約金融服務(wù)局的介紹，紐約金融服務(wù)局出臺23NYCRR 500法令，目的是保護消費者信息和被監(jiān)管機構(gòu)的信息技術(shù)系統(tǒng)安全，包含23條法令，主要內(nèi)容可以分為三大部分。一是對金融機構(gòu)信息安全管理的制度與程序要求，包含網(wǎng)絡(luò)安全計劃、網(wǎng)絡(luò)安全政策、風(fēng)險評估、滲透測試與漏洞評估、訪問權(quán)限、應(yīng)用安全、復(fù)合因素認證、數(shù)據(jù)保留限制、非公開信息加密、突發(fā)事件應(yīng)對的要求。二是關(guān)于金融機構(gòu)信息安全管理的人員配置及管理要求，包含首席信息安全官（CISO）、網(wǎng)絡(luò)安全人員、培訓(xùn)與檢測、第三方供應(yīng)商管理。三是關(guān)于監(jiān)督與監(jiān)管事項，包含審計跟蹤、通知監(jiān)管、保密、豁免、法律責(zé)任、生效日期、過渡日期、適用要求。整部法令的核心思想就是要求金融機構(gòu)自評估相關(guān)風(fēng)險并采取適當(dāng)?shù)陌踩胧@種風(fēng)險為本的立法思想強化了金融機構(gòu)的信息保護的合規(guī)義務(wù)，更有利于保護消費者的權(quán)益。

二、美紐約金融機構(gòu)網(wǎng)絡(luò)安全500編認證具體內(nèi)容

美國紐約金融服務(wù)局出臺23NYCRR 500法令主要涵蓋了金融機構(gòu)信息安全管理的制度與程序要求、人員配置及管理要求、監(jiān)督及監(jiān)管事項三大部分。

（一）金融機構(gòu)信息安全管理制度與程序要求

在金融機構(gòu)信息安全管理制度與程序要求當(dāng)中，對金融機構(gòu)的主要要求有建立整體的網(wǎng)絡(luò)安全計劃、具體的網(wǎng)絡(luò)安全政策和風(fēng)險評估程序等三方面，其他的要求均為以上三方面的補充或細化。

1.網(wǎng)絡(luò)安全整體計劃

根據(jù)23NYCRR 500的02條，每一個被監(jiān)管的機構(gòu)應(yīng)該維持一個網(wǎng)絡(luò)安全計劃，設(shè)計來保護信息系統(tǒng)的保密性、完整性與可用性。該網(wǎng)絡(luò)安全計劃要依據(jù)機構(gòu)的風(fēng)險評估狀況來制定并執(zhí)行以下功能：（1）辨別與評估內(nèi)外部的網(wǎng)絡(luò)安全風(fēng)險，這種風(fēng)險將威脅到儲存在機構(gòu)信息系統(tǒng)非公開信息的安全與完整性;（2）使用防衛(wèi)性基礎(chǔ)設(shè)備（defensive infrastructure）與執(zhí)行政策與程序來保護機構(gòu)的信息系統(tǒng)和儲存在系統(tǒng)上的非公開信息遠離未授權(quán)的獲取、使用或者其他非法行為;（3）監(jiān)測網(wǎng)絡(luò)安全事件;（4）對辨別或者監(jiān)測的網(wǎng)絡(luò)安全事件進行回應(yīng)，以緩釋所有的消極效果;（5）做好從網(wǎng)絡(luò)安全事件當(dāng)中恢復(fù)或者進行正常操作或者服務(wù)的備份;（6）滿足監(jiān)管的相關(guān)報告要求職責(zé)。

2.網(wǎng)絡(luò)安全計劃具體部分

一是加強信息安全監(jiān)測。這主要是要求做好滲透測試與漏洞評估。根據(jù)23NYCRR 500的05條，網(wǎng)絡(luò)安全計劃應(yīng)該包含依據(jù)風(fēng)險評估為基礎(chǔ)的監(jiān)測與測試，來評估其效率性，這種監(jiān)測與測試應(yīng)該包含持續(xù)的監(jiān)測與周期性滲透測試和漏洞評估。首先是根據(jù)風(fēng)險評估在每年依據(jù)相關(guān)辨認出的風(fēng)險開展信息系統(tǒng)的滲透測試;其次是每半年進行漏洞評估，含系統(tǒng)的掃描或者在信息系統(tǒng)當(dāng)中依據(jù)風(fēng)險評估結(jié)果，依據(jù)公開所知的信息安全漏洞進行辨認，開展信息系統(tǒng)的審查。

二是做好信息使用管理。體現(xiàn)在金融信息管理的訪問權(quán)限、應(yīng)用安全、復(fù)合因素認證要求上，其中，應(yīng)用安全政策與程序需要由首席信息安全官進行固定審查;復(fù)合因素認證指編密碼與多方位認證程序的使用，對于從外網(wǎng)訪問金融機構(gòu)內(nèi)網(wǎng)，將使用復(fù)合因素認證并需要首席信息安全官批準(zhǔn)。

三是做好信息維護管理。主要包含數(shù)據(jù)保留的限制與做好非公開信息的加密。23NYCRR 500的13條指出，金融機構(gòu)應(yīng)該對數(shù)據(jù)的保留做出安排，對開展業(yè)務(wù)不再必要或者其他法律法規(guī)有要求的進行安全的處置。15條規(guī)定，作為其網(wǎng)絡(luò)安全計劃的一部分，根據(jù)其風(fēng)險評估，每個轄屬金融機構(gòu)應(yīng)實施加密等控制舉措，以保護所持有或傳輸?shù)姆枪_信息，包括在外部網(wǎng)絡(luò)中傳輸?shù)男畔⒓办o態(tài)的信息。同時金融機構(gòu)決定加密的非公開信息專業(yè)轉(zhuǎn)移到外部網(wǎng)絡(luò)或者相關(guān)控制措施不夠，必須采取相關(guān)的有效控制措施，并經(jīng)首席信息安全官（CISO）批準(zhǔn)或者審查，同時，相關(guān)的控制措施必須起碼最低每年一次審查。23NYCRR 500當(dāng)中的非公開信息主要指：不當(dāng)披露，可能對實體導(dǎo)致重大不利影響的商業(yè)信息;個人信息如姓名、或與社保號碼、駕駛證號碼、金融賬戶相關(guān)的標(biāo)識符號;某些健康信息。

四是突發(fā)事件應(yīng)對計劃。金融機構(gòu)應(yīng)該建立書面的突發(fā)事件計劃，以應(yīng)對網(wǎng)絡(luò)安全事件實質(zhì)性影響到信息系統(tǒng)保密性、完整性、或者可用性或者金融機構(gòu)業(yè)務(wù)或者運營持續(xù)性的任何方面做出即刻的響應(yīng)或者恢復(fù)。含對網(wǎng)絡(luò)安全事故的響應(yīng)流程、事故回應(yīng)計劃的目的、決策機關(guān)及分工職責(zé)、內(nèi)外部聯(lián)系及信息共享、對糾正辨識出弱點的信息系統(tǒng)或相關(guān)控制的辨別要求、相關(guān)響應(yīng)行為的文件或者報告機制、在網(wǎng)絡(luò)安全事件發(fā)生對事故響應(yīng)計劃的修訂或者復(fù)審。

3.網(wǎng)絡(luò)安全政策

每一個金融機構(gòu)應(yīng)該執(zhí)行與維持書面的政策，該政策由高級管理層或者董事會（或其合適委員會）或同等管理部門的批準(zhǔn)。該政策應(yīng)該根據(jù)風(fēng)險評估為基礎(chǔ)，并在以下領(lǐng)域適用：信息安全;數(shù)據(jù)治理與分類;資產(chǎn)庫存與設(shè)備管理;訪問控制與身份管理;業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)規(guī)劃;系統(tǒng)操作與可用性相關(guān)事項;系統(tǒng)與網(wǎng)絡(luò)安全性;系統(tǒng)與網(wǎng)絡(luò)監(jiān)測;系統(tǒng)與應(yīng)用程序開發(fā)及質(zhì)量保證;物理安全與環(huán)境控制;客戶數(shù)據(jù)隱私;外包與第三方供應(yīng)商管理;風(fēng)險評估;事件響應(yīng)。

4.風(fēng)險評估政策與程序

每一個金融機構(gòu)應(yīng)該開展對信息系統(tǒng)定期的風(fēng)險評估，以充分的證明網(wǎng)絡(luò)安全計劃滿足相關(guān)要求。風(fēng)險評估應(yīng)通過合理的更新來糾正信息系統(tǒng)、非公開信息、或者業(yè)務(wù)的偏移，應(yīng)該允許控制的修改、回應(yīng)技術(shù)的發(fā)展、演進的威脅、考慮機構(gòu)與網(wǎng)絡(luò)安全的業(yè)務(wù)風(fēng)險、非公開信息的收集和儲存、信息系統(tǒng)的使用、保護非公開信息和信息系統(tǒng)的控制可獲得性與有效性。

風(fēng)險評估書面政策與程序應(yīng)該包含：評價的標(biāo)準(zhǔn)及對所辨認風(fēng)險的分門別類;評估信息系統(tǒng)及非公開信息的保密性、完整性、安全性和可獲得性的標(biāo)準(zhǔn);含辨識風(fēng)險存在控制的充分性;以及根據(jù)風(fēng)險評估怎樣對所辨認風(fēng)險緩釋或者接受相關(guān)要求以及網(wǎng)絡(luò)安全計劃如何糾正風(fēng)險。

（二）人員配置及管理要求

美國紐約23NYCRR 500對人員的配置體現(xiàn)在首席信息安全官（CISO）、網(wǎng)絡(luò)安全人員、第三方服務(wù)提供商管理、培訓(xùn)與監(jiān)測四方面的要求上。

一是首席信息安全官的相關(guān)規(guī)定。首席信息安全官的規(guī)定處于人員配置管理要求的核心地位，每一個機構(gòu)要任命一個適格的人員作為首席信息安全官，監(jiān)督與執(zhí)行機構(gòu)的網(wǎng)絡(luò)安全計劃和執(zhí)行網(wǎng)絡(luò)安全政策。首席信息安全官可由企業(yè)雇傭、也可來自分支機構(gòu)或者第三方服務(wù)提供商中。在網(wǎng)絡(luò)服務(wù)外包的情形下，企業(yè)應(yīng)任命一名高級職員，作為與第三方網(wǎng)絡(luò)供應(yīng)商的聯(lián)絡(luò)人。

首席信息安全官應(yīng)該每年至少一次給董事會或者同等地位的人員書面報告網(wǎng)絡(luò)安全計劃及網(wǎng)絡(luò)安全風(fēng)險，要是沒有董事會，應(yīng)該給機構(gòu)負責(zé)網(wǎng)絡(luò)安全計劃的高管報告。書面報告應(yīng)包含非公開信息的保密性、金融機構(gòu)信息系統(tǒng)的完整性與安全性、網(wǎng)絡(luò)安全政策與程序、實質(zhì)性網(wǎng)絡(luò)安全風(fēng)險、網(wǎng)絡(luò)安全計劃的整體效果、報告期的重要網(wǎng)絡(luò)安全事件等。

二是網(wǎng)絡(luò)安全人員。金融機構(gòu)要配置合格的網(wǎng)絡(luò)安全管理人員，能夠充分管理網(wǎng)絡(luò)安全風(fēng)險并執(zhí)行與監(jiān)督網(wǎng)絡(luò)安全管理的核心功能。對網(wǎng)絡(luò)安全人員要提供及時和充分培訓(xùn)以應(yīng)對相關(guān)網(wǎng)絡(luò)風(fēng)險。對網(wǎng)絡(luò)安全核心崗位員工，應(yīng)有步驟，做好充足培訓(xùn)以應(yīng)對持續(xù)改變的網(wǎng)絡(luò)威脅并能夠采取應(yīng)對措施。

三是第三方服務(wù)提供商管理。金融機構(gòu)應(yīng)當(dāng)制定第三方供應(yīng)商的政策。包含辨認與評估第三方服務(wù)提供商的風(fēng)險;第三方與金融機構(gòu)開展業(yè)務(wù)的最低準(zhǔn)入網(wǎng)絡(luò)安全要求;評估第三方服務(wù)商網(wǎng)絡(luò)安全要求充分性的盡職調(diào)查程序;對第三方服務(wù)提供的定期評審。同時，在有關(guān)評估第三方的盡職調(diào)查程序或金融機構(gòu)與第三方服務(wù)提供商簽訂的合同中應(yīng)該包含相關(guān)要求，保障符合本編認證的復(fù)合因素認證與非公開信息加密要求。擁有大量服務(wù)提供商的金融機構(gòu)，必須采取舉措來確保每個服務(wù)提供商都遵從加密要求。

四是培訓(xùn)與監(jiān)測。金融機構(gòu)要對所有人提供固定的網(wǎng)絡(luò)安全意識訓(xùn)練，及時反映金融機構(gòu)在風(fēng)險評估當(dāng)中辨認出的風(fēng)險。要執(zhí)行風(fēng)險為本的政策、程序與控制來監(jiān)測授權(quán)使用者的活動和追蹤非授權(quán)者的訪問、使用、或篡改授權(quán)使用者的非公開信息。

（三）監(jiān)督及監(jiān)管事項

1.監(jiān)督事項

監(jiān)督主要是審計跟蹤。每個金融機構(gòu)要安全的維持系統(tǒng)，并依據(jù)風(fēng)險評估的程度采取相關(guān)措施。審計跟蹤要設(shè)計來對很大可能實質(zhì)性傷害到金融機構(gòu)正常業(yè)務(wù)運營的網(wǎng)絡(luò)安全事故進行審計跟蹤，并對相關(guān)資料按照要求保存。

2.監(jiān)管事項

一是做好網(wǎng)絡(luò)安全事件通知。要是發(fā)生網(wǎng)絡(luò)安全事件，每一個金融機構(gòu)在以下情形下必須在不遲于72小時內(nèi)通知監(jiān)管機構(gòu)：一是網(wǎng)絡(luò)安全事件影響到金融機構(gòu)，需要提供通知給政府機構(gòu)、自律組織和其他監(jiān)管;二是網(wǎng)絡(luò)安全事件有合理的很大可能性會實質(zhì)性的傷害到金融機構(gòu)正常運營的任何實質(zhì)性部分。

二是提交認證聲明。每一個金融機構(gòu)要評估自身的具體風(fēng)險、設(shè)計一個網(wǎng)絡(luò)安全計劃來糾正其風(fēng)險，以保障其穩(wěn)健經(jīng)營。金融機構(gòu)的網(wǎng)絡(luò)安全計劃必須確保機構(gòu)的安全與穩(wěn)健和消費者利益保護。高級管理層必須重視該計劃并對機構(gòu)的網(wǎng)絡(luò)信息安全負責(zé)，每年2月15日提交一個聲明證實已經(jīng)遵守《金融服務(wù)公司網(wǎng)絡(luò)安全要求》的規(guī)定，完成相關(guān)的合規(guī)認證。

3.相關(guān)責(zé)任及適用

在法律責(zé)任上，如果23NYCRR 500的要求沒有得到遵守，23NYCRR 500的第20條規(guī)定，相關(guān)要求將“在任何適用法律”下得到執(zhí)行，為 DFS 或消費者對銀行、保險公司和其他金融服務(wù)公司違反此類證明的行為索賠提供基礎(chǔ)，也意味著故意向 DFS 做出錯誤陳述將承擔(dān)相應(yīng)民事甚至刑事懲罰。

在適用紐約23NYCRR 500法令上，紐約金融服務(wù)局采用逐步推進的方法，該規(guī)定在2017年3月份1日開始生效，設(shè)立相關(guān)過渡期，并對機構(gòu)遵循相關(guān)規(guī)定進行限定，在2018年2月15日開始要求金融機構(gòu)提供首份認證聲明，對部分條款提供優(yōu)先認證，如網(wǎng)絡(luò)安全計劃、網(wǎng)絡(luò)安全政策優(yōu)先要求機構(gòu)遵循，到2019 年 3 月 1 日，兩年過渡期結(jié)束，適用實體被要求全面遵從全部規(guī)定。

三、從內(nèi)部控制理論看美國紐約金融網(wǎng)絡(luò)安全500編認證

美國紐約金融網(wǎng)絡(luò)安全500編認證，雖然只有23條，但內(nèi)容龐雜，涉及到網(wǎng)絡(luò)信息安全管理的各個方面，從網(wǎng)絡(luò)安全500編認證本質(zhì)來看，這是當(dāng)前的網(wǎng)絡(luò)安全嚴峻形勢下，DFS要求金融機構(gòu)加強對網(wǎng)絡(luò)安全的內(nèi)部控制，從而確保能夠遵循相關(guān)要求，對消費者信息安全與金融機構(gòu)自身信息系統(tǒng)安全提供合理保證。依據(jù)美國反虛假財務(wù)報告委員會下屬的發(fā)起人委員會（COSO）發(fā)布2013年內(nèi)部控制整體框架，網(wǎng)絡(luò)安全500編認證對內(nèi)部控制五要素的要求主要體現(xiàn)在：

一是在控制環(huán)境方面，網(wǎng)絡(luò)安全500編認證要求金融機構(gòu)任命首席信息官，并每年至少一次給董事會或者同等地位的人員書面報告網(wǎng)絡(luò)安全計劃及網(wǎng)絡(luò)安全風(fēng)險，以確保公司最高層能夠?qū)W(wǎng)絡(luò)安全管理進行監(jiān)督，這符合了COSO要求建立組織架構(gòu)、報告路徑及適當(dāng)?shù)臋?quán)利和責(zé)任的控制原則。二是在風(fēng)險評估方面，網(wǎng)絡(luò)安全500編認證要求金融機構(gòu)制定風(fēng)險評估書面政策與程序，對信息系統(tǒng)開展定期的風(fēng)險評估。三是在控制活動方面，COSO控制原則要求企業(yè)選擇并設(shè)定一般IT控制活動，并通過政策與程序來部署控制活動。而網(wǎng)絡(luò)安全500編認證要求建立整體網(wǎng)絡(luò)安全計劃，并部署具體的網(wǎng)絡(luò)安全政策來完成網(wǎng)絡(luò)風(fēng)險的控制過程。四是在信息與溝通方面，網(wǎng)絡(luò)安全500編認證對金融機構(gòu)的要求是做好信息使用管理，體現(xiàn)在金融信息管理的訪問權(quán)限、應(yīng)用安全、復(fù)合因素認證要求上，這滿足COSO控制原則要求能夠獲取、生產(chǎn)和使用高質(zhì)量的信息的要求。五是在監(jiān)督方面上，網(wǎng)絡(luò)安全500編認證要求開展審計跟蹤，這是COSO控制原則監(jiān)督方面持續(xù)的內(nèi)部控制評估的體現(xiàn)。

美國紐約網(wǎng)絡(luò)安全500編認證的核心要求體現(xiàn)在建立整體網(wǎng)絡(luò)安全計劃，并制定實施具體的網(wǎng)絡(luò)安全政策，鑒于500認證在內(nèi)部控制五要素上都有所要求，因此，一個金融機構(gòu)要完成紐約金融網(wǎng)絡(luò)安全500編認證，必須完善信息安全管理內(nèi)部控制機制，才能夠確保合規(guī)。

四、美國紐約金融網(wǎng)絡(luò)安全500編認證影響及相關(guān)啟示

“互聯(lián)網(wǎng)金融”依靠電子技術(shù)運行，其核心基礎(chǔ)是應(yīng)用金融信息。大數(shù)據(jù)時代下，對個人信息的掌握程度，將很大決定一個金融機構(gòu)的競爭力。對個人信息的收集與使用，應(yīng)該以個人信息獲得充分保護為前提。紐約網(wǎng)絡(luò)安全500編認證本身是對金融機構(gòu)的網(wǎng)絡(luò)安全的要求，但最終的指向是個人的信息保護。

（一）美紐約金融網(wǎng)絡(luò)安全500編認證對我國金融機構(gòu)影響

美紐約23NYCRR 500對我國金融機構(gòu)影響主要體現(xiàn)在：一是我國金融機構(gòu)總部要從整體上監(jiān)督與支持在紐約機構(gòu)落實23NYCRR 500要求。美紐約23NYCRR 500法令在2018年2月15日開始生效，在紐約機構(gòu)已經(jīng)根據(jù)要求開展認證。國內(nèi)的總部機構(gòu)在對在美紐約機構(gòu)落實23NYCRR 500要求進行監(jiān)督時，必須從加強該分支機構(gòu)的網(wǎng)絡(luò)信息安全管理的內(nèi)部控制的角度進行著手，根據(jù)內(nèi)部控制五要素要求，分類逐條對在紐約機構(gòu)落實23NYCRR 500情況進行評估，確保全面合規(guī)。

二是在美紐約機構(gòu)，要全面對標(biāo)23NYCRR 500要求，不僅要建立網(wǎng)絡(luò)安全計劃、部署具體的網(wǎng)絡(luò)安全政策，并建立健全相應(yīng)的風(fēng)險評估機制，更要加大網(wǎng)絡(luò)安全的管理資源投入，做好人員配置與培訓(xùn)，開展好第三方供應(yīng)商管理，做好審計監(jiān)督等相關(guān)事項。同時應(yīng)跳出傳統(tǒng)的被動合規(guī)思維，以此為契機，全面加強紐約屬地的網(wǎng)絡(luò)信息安全風(fēng)險管理。

（二）對我國做好網(wǎng)絡(luò)安全管理，加強金融信息保護的相關(guān)啟示

美紐約23NYCRR 500法令雖然為紐約州的地方性規(guī)章，但其相關(guān)的立法理念及執(zhí)法的要求卻是走在全球前列，體現(xiàn)了全球金融中心的金融個人信息保護的趨勢。對我國加強個人金融信息保護具有以下啟示：

1.加強監(jiān)管力度，強化網(wǎng)絡(luò)環(huán)境下個人金融信息保護不力的追責(zé)

在個人信息保護上的法律法規(guī)上，我國尚未出臺專門的個人信息保護法律。對金融信息保護，我國相關(guān)規(guī)定層次豐富，內(nèi)容廣泛。一是在法律層面，如2017年《民法總則》第111條對個人信息的保護規(guī)定、2017年6月1日開始實施的《網(wǎng)絡(luò)安全法》在40到44條規(guī)定的個人信息保護的原則與框架。二是司法解釋，如2017 年5 月，最高人民法院和最高人民檢察院聯(lián)合發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10 號）。三是規(guī)范性文件，如2011 年中國人民銀行《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》、全國信息安全技術(shù)標(biāo)準(zhǔn)化委員會2017年發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》、銀保監(jiān)會2018年5月21日實施的《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》等。

但相關(guān)規(guī)定在金融機構(gòu)個人信息保護上針對性上存在不足。銀保監(jiān)會《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》24條規(guī)定，“銀行業(yè)金融機構(gòu)采集、應(yīng)用數(shù)據(jù)涉及到個人信息的，應(yīng)遵循國家個人信息保護法律法規(guī)要求，符合與個人信息安全相關(guān)的國家標(biāo)準(zhǔn)?！睆亩鴮ⅰ缎畔踩夹g(shù)個人信息安全規(guī)范》納入銀行業(yè)的個人信息保護體系。只是在相關(guān)的監(jiān)管責(zé)任追究上，并沒有彰顯銀行業(yè)個人信息保護的責(zé)任力度。除了銀行業(yè)以外，其他金融機構(gòu)也存在廣泛的個人信息保護需求。參考紐約23NYCRR 500對相關(guān)責(zé)任的規(guī)定及歐盟《通用數(shù)據(jù)保護條例》對個人數(shù)據(jù)保護不力的責(zé)任追究，未來我國應(yīng)修改相關(guān)責(zé)任規(guī)定，督促金融監(jiān)管部門加大對金融信息個人監(jiān)管力度，在互聯(lián)網(wǎng)時代，除了民事、刑事的方式提供保護，更應(yīng)該加強對金融機構(gòu)及其工作人員在個人金融信息保護上不力的行政處罰力度。

2.改進保護路徑，采用風(fēng)險為本方法，提升金融機構(gòu)的網(wǎng)絡(luò)安全風(fēng)險應(yīng)對能力

紐約金融服務(wù)局的23NYCRR 500法令，總體上存在金融機構(gòu)對個人信息保護的風(fēng)險為本（risk-based approach）方法要求。該法令通篇貫徹了該種方法，如在網(wǎng)絡(luò)安全計劃的規(guī)定中，23NYCRR 500的02條規(guī)定，“網(wǎng)絡(luò)安全計劃要依據(jù)機構(gòu)的風(fēng)險評估狀況來制定并執(zhí)行以下功能”，在23NYCRR 500的03條網(wǎng)絡(luò)安全政策上指出，“該政策應(yīng)該根據(jù)風(fēng)險評估為基礎(chǔ)，并在以下領(lǐng)域適用”，此外在非公開信息的加密、培訓(xùn)與監(jiān)測等多領(lǐng)域均有相關(guān)表述，這是要求金融企業(yè)做好自身的風(fēng)險評估并采取適當(dāng)與風(fēng)險匹配的措施。我國也可以采納同樣的方法，在金融機構(gòu)具體落實個人信息保護要求的時候，要求建立健全相關(guān)的網(wǎng)絡(luò)安全風(fēng)險評估機制，并采取項適應(yīng)的風(fēng)險管理措施。

3.改善實現(xiàn)機制，加強金融機構(gòu)網(wǎng)絡(luò)安全的內(nèi)部控制，健全完善金融機構(gòu)信息保護機制

整體上，紐約金融服務(wù)局的網(wǎng)絡(luò)安全500編認證是對轄屬金融機構(gòu)在網(wǎng)絡(luò)安全管理的一種內(nèi)部控制要求。完成網(wǎng)絡(luò)安全500認證的過程，就是轄屬金融機構(gòu)的內(nèi)部控制環(huán)境、風(fēng)險評估機制、控制活動、信息溝通與監(jiān)督五要素的達標(biāo)過程，這啟示我們要改進網(wǎng)絡(luò)安全管理的實現(xiàn)機制，在推動金融機構(gòu)加強網(wǎng)絡(luò)安全管理的時候從機構(gòu)的整體機制著手，對內(nèi)部控制的各個要素進行評價，而不是等到網(wǎng)絡(luò)安全事件發(fā)生后，再進行處罰糾正，從強化金融機構(gòu)的網(wǎng)絡(luò)安全保護內(nèi)部控制機制著手，這樣才能夠為實現(xiàn)互聯(lián)網(wǎng)時代下金融信息的保護提供合理的保證。

參考文獻：

[1]惠平，童頻.商業(yè)銀行內(nèi)部控制[M].北京：中國金融出版社，2017.

[2]張健華.美國金融制度[M].北京：中國金融出版社，2016.

[3]王瑞.歐盟《通用數(shù)據(jù)保護條例》主要內(nèi)容與影響分析[J].金融會計，2018（8）.

[4]洪延青.透析金融數(shù)據(jù)保護的美歐中立法要點和趨勢[J].中國銀行業(yè)，2018（11）.

[5]中國工商銀行江蘇省分行課題組.我國商業(yè)銀行個人金融信息保護策略研究[J].金融縱橫，2018（7）.